Django Anonymous access?

Question

[Антонов Дмитрий]

Здравствуйте!
Имею следующую models.py:

from django.db import models
from django.utils import timezone
from django.contrib.auth.models import User

class Article(models.Model):
    article_title = models.CharField(max_length=100)
    article_text = models.TextField()
    article_date_create = models.DateTimeField(default=timezone.now)
    article_date_modify = models.DateTimeField(default=timezone.now)
    article_access = models.BooleanField(default=True)
    article_autor = models.ForeignKey(User)
    article_tag = models.ManyToManyField(Tags)

Article_access - отвечает за доступ к статье анонимными пользователями.
Доступ к конкретной статье реализован так views.py:

from django.views import generic

class FullView(generic.DetailView):
    template_name = 'blog/full.html'
    model = Article
    context_object_name = 'fullpost_blog'

Мне нужно ограничить доступ анонимного пользователя только к закрытым постам, реализация с помощью декоратора. Пробовал использовать @login_required, но тогда анонимный пользователь не может открыть вообще не одну статью, так же пробовал @permission_required, но там я так понял нужно именно права, а моё 'Article.article_access' он не воспринимает.
Пожалуйста подскажите в какую сторону двигаться, мне нужно написать свой декоратор или же как-то отлавливать когда открывают именно закрытый пост?

Comments

[Сергей Горностаев]

Либо написать свой декоратор, либо расширять вьюху.

[Антонов Дмитрий]

Сергей Горностаев: Вы имеете ввиду использовать не DetailView, а свой вариант?

[Сергей Горностаев]

BlackTrub: можно наследовать от DetailView и переопределить get_object()

Answer 1

[sim3x]

Используем
https://docs.djangoproject.com/en/1.9/ref/contrib/...
возможно стоит сделать лендинг для таких пользователей, где б они могли авторизироваться или создать акк
stackoverflow.com/questions/5433172/how-to-redirec...

ну и добавить гет пареметр next stackoverflow.com/a/13595154

Comments

[Антонов Дмитрий]

Я немного не понял как это мне поможет, можете пояснить?

[sim3x]

BlackTrub:

class FullView(generic.DetailView):
    template_name = 'blog/full.html'
    model = Article
    context_object_name = 'fullpost_blog'

    def dispatch(self, request, *args, **kwargs):
        if self.request.user.is_anonymous():
            return redirect('create_account_page')
        else:
            return super(FullView, self).dispatch(request, *args, **kwargs)

если и так непонятно, то уточняй, что непонятно

[Антонов Дмитрий]

Ваш код мне предельно ясен, тут немного другой момент, мне нужно во первых реализация с помощью декоратора, а во вторых доступ должен быть закрыт только к закрытой статье, т.е. для определения мне нужно object который обрабатывается для получения object.article_access

[sim3x]

BlackTrub: раз там присутствует логика, то пиши свой декоратор

Answer 2

[Anatoly Scherbakov]

Есть два варианта.

1. Раздать всем зарегистрированным пользователям специально созданный permission - например, Article.can_view, скажем, посредством добавления их всех в группу, и затем использовать permission_required.

2. (Мне кажется, лучше) переопределить get_object во view приблизительно так:

obj = super(FullView, self).get_object()
if self.request.user.is_anonymous and obj.article_access:
    raise PermissionDenied
else:
    return obj

Comments

[Антонов Дмитрий]

Над вторым вариантом я тоже думал, но тогда не используется декоратор.

[Антонов Дмитрий]

Попробовал первый вариант, я возможно не понял идею... Я добавил permission 'Article.can_view_privatepost', так он меня опять же кидает на регистрацию если я не авторизовался, даже на открытый пост, возможно это нужно где-то прописать?

[Anatoly Scherbakov]

BlackTrub: я сейчас подумал - и действительно это логично, permission_required должен по идее требовать авторизации. Ведь неавторизованный пользователь по определению никаких прав не имеет. Попробуйте второй вариант. Без декоратора.

[Антонов Дмитрий]

Anatoly Scherbakov: спасибо за помощь, я реализовал данную задачу с помощью декоратора, если интересно можете посмотреть мой код ниже.

Answer 3

[bpe]

1. Из вопроса не очень понятно, как должна обрабатываться ситуация если анонимный пользователь зашел на страницу с записью на просмотр которой у него нет прав. Стандартный вариант - он видит сообщение: "Данная запись доступна только зарегистрированным пользователям, войдите или зарегистрируйтесь". "войдите" и "зарегистрируйтесь" соответственно ссылки. При article_access = True запись отображается для анонимного или нет? Допустим, что если article_access = True то запись доступна для анонимного пользователя. Тогда в шаблоне:

{% if user.is_authenticated or article.article_access %}
    <p>{{ article.article_title }}</p>
    <p>{{ article.article_text }}</p>
    ...
{% else %}
    <p>"Данная запись доступна только зарегистрированным пользователям, <a href="{% url 'customer:login' %}">войдите</a> или
        <a href="{% url 'customer:register' %}">зарегистрируйтесь".</a></p>
{% endif %}

2. Избавиться от generic view и сделать FBV:

if request.user.is_authenticated():
...
else:
...

3. Перекрыть какой то из методов DetailView проверить тот же request.user.is_authenticated() и вернуть нужный Queryset. В этом случае FBV будет компактней и проще.

Comments

[Антонов Дмитрий]

Возможно я не правильно понял, но к этим методам не подходит использование декоратора? Я уже придумал решение, но у меня получился дикий велосипед. :(

[Антонов Дмитрий]

Если хотите могу скинуть код, возможно подскажите как улучшить этот момент.

[bpe]

Не надо там никаких велосипедов, все делается штатными средствами. Тут есть возможность отправить личное сообщение? Если да то отправьте как можно связаться, спишемся что бы тут флейм не разводить.

[bpe]

Из вопроса не очень понятно, как должна обрабатываться ситуация если анонимный пользователь зашел на страницу с записью на просмотр которой у него нет прав. Стандартный вариант - он видит сообщение: "Данная запись доступна только зарегистрированным пользователям, войдите или зарегистрируйтесь". "войдите" и "зарегистрируйтесь" соответственно ссылки. При article_access = True запись отображается для анонимного или нет? Допустим, что если article_access = True то запись доступна для анонимного пользователя. Тогда в шаблоне:
{% if not user.is_authenticated and article.article_access %}
{{ article }}
{% else %}
"Данная запись доступна только зарегистрированным пользователям, войдите или
зарегистрируйтесь".
{% endif %}
Как то так.

[bpe]

Отредактировал п.1 в ответе

[Антонов Дмитрий]

bpe: @BlacTrub мой телеграм.

[Антонов Дмитрий]

bpe: Полностью согласен с вашим примером с шаблоном, я бы так и сделал не разводя вопросы, но реализация нужна именно с использованием декоратора.

Answer 4

[Антонов Дмитрий]

Всем огромное спасибо за помощь!

Решил проблему написанием своего декоратора.
И так views.py:

def FullView(request, pk):
    obj = get_object_or_404(Article, pk=pk)

    @access_private_post(url='/login', access=obj.article_access)
    def view(request, obj):
        return render(request, 'blog/full.html', {'fullpost_blog': obj})

    return view(request, obj)

И сам декоратор decorators.py:

from functools import wraps
from django.shortcuts import redirect


def access_private_post(function=None, url=None, access=None):
    def decorator(function):
        @wraps(function)
        def wrapper(request, *args, **kwargs):
            if not access and not request.user.is_authenticated():
                return redirect(url)
            else:
                return function(request, *args, **kwargs)
        return wrapper
    return decorator

Вьюшка к сожалению пока выглядит не очень, но это я доработаю, всем ещё раз спасибо!